安全服務(wù)包

本服務(wù)包含多個(gè)安全項(xiàng)目，保證安全評(píng)估覆蓋更全面，同時(shí)可協(xié)助發(fā)掘持續(xù)改進(jìn)的方向，并做到主動(dòng)預(yù)防安全風(fēng)險(xiǎn)。服務(wù)多為高級(jí)服務(wù)，保證實(shí)施遵循最小影響原則、可控性原則、整體性原則、針對(duì)性原則。此外，用戶更可以根據(jù)實(shí)際需求自行選擇。

安全月活動(dòng)(12.23-1.23)，每滿10萬減1萬?

服務(wù)類別	項(xiàng)目
物理安全評(píng)估	（1）機(jī)房安全評(píng)估：根據(jù)國家頒發(fā)的相關(guān)安全標(biāo)準(zhǔn)，對(duì)用戶的核心機(jī)房進(jìn)行物理安全評(píng)估，評(píng)估項(xiàng)目包括但不限于機(jī)房環(huán)境評(píng)估及機(jī)房管控評(píng)估。其中機(jī)房環(huán)境評(píng)估包括： a.物理位置評(píng)估； b.自然災(zāi)害承受能力評(píng)估； c.抗干擾能力評(píng)估； d.機(jī)房管控評(píng)估包括： e.機(jī)房?jī)?nèi)視頻監(jiān)控覆蓋評(píng)估; f.機(jī)房出入管控評(píng)估； （2）關(guān)鍵位置視頻監(jiān)控評(píng)估：對(duì)監(jiān)控存放關(guān)鍵IT資產(chǎn)房間、核心系統(tǒng)主機(jī)機(jī)房的視頻監(jiān)控系統(tǒng)進(jìn)行評(píng)估。評(píng)估從大樓外部至該類房間大門口的路徑上，視頻監(jiān)控的覆蓋面、監(jiān)控的持續(xù)能力進(jìn)行實(shí)地調(diào)研，驗(yàn)證視頻監(jiān)控系統(tǒng)是否滿足長(zhǎng)期監(jiān)控關(guān)鍵房間的需求； （3）根據(jù)以上兩項(xiàng)評(píng)估內(nèi)容，形成《物理安全評(píng)估報(bào)告》。綜合分析用戶的物理安全防護(hù)現(xiàn)狀，總結(jié)當(dāng)前物理環(huán)境安全管控的缺失，提出整改的意見與建議； （4）此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。
主機(jī)脆弱性評(píng)估	（1）進(jìn)行漏洞掃描，根據(jù)結(jié)果分析漏洞分布狀況，評(píng)估應(yīng)用組件與系統(tǒng)服務(wù)的安全狀況，同時(shí)評(píng)估加固成本及代價(jià)，且提供加固建議； （2）根據(jù)用戶IT環(huán)境與業(yè)務(wù)狀況，按照系統(tǒng)維度對(duì)漏洞掃描結(jié)果進(jìn)行梳理，并按照以下的項(xiàng)目對(duì)每個(gè)系統(tǒng)的漏洞情況進(jìn)行評(píng)估： a.以單個(gè)系統(tǒng)為統(tǒng)計(jì)維度統(tǒng)計(jì)漏洞，整理每個(gè)系統(tǒng)的漏洞數(shù)量；b.按照IT架構(gòu)的層次梳理漏洞，評(píng)估每個(gè)層次漏洞分布的情況； c.按照應(yīng)用類型、服務(wù)類型梳理漏洞，評(píng)估單個(gè)應(yīng)用、服務(wù)的漏洞情況，甄別風(fēng)險(xiǎn)最高的系統(tǒng)應(yīng)用、服務(wù)； d.評(píng)估風(fēng)險(xiǎn)最高的主機(jī)漏洞，編排漏洞加固的優(yōu)先級(jí)別； e.提供合適用戶實(shí)際情況的漏洞加固建議，評(píng)估加固漏洞所需要的成本與代價(jià)。 完成以上評(píng)估工作后，編制《主機(jī)脆弱性評(píng)估報(bào)告》 （3）此項(xiàng)工作需由具備CISP認(rèn)證資質(zhì)的人員進(jìn)行實(shí)施，且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。
操作系統(tǒng)安全評(píng)估	（1）系統(tǒng)服務(wù)安全、關(guān)鍵線程安全、防病毒系統(tǒng)穩(wěn)健性、系統(tǒng)基線配置安全、弱口令掃描、關(guān)鍵系統(tǒng)補(bǔ)丁，根據(jù)檢測(cè)結(jié)果，評(píng)估在用的各類操作系統(tǒng)在配置上的安全性，篩查由于配置參數(shù)不合規(guī)帶來安全風(fēng)險(xiǎn)，分析修改配置帶來的影響，提供整改建議; （2）根據(jù)用戶的IT環(huán)境與系統(tǒng)的實(shí)際狀況，對(duì)操作系統(tǒng)基線的檢測(cè)結(jié)果進(jìn)行分析評(píng)估，按照以下羅列的項(xiàng)目進(jìn)行合規(guī)性分析： a.以單個(gè)系統(tǒng)為統(tǒng)計(jì)維度統(tǒng)計(jì)操作系統(tǒng)基線合規(guī)情況，梳理每個(gè)系統(tǒng)的基線不合規(guī)情況； b.按照操作系統(tǒng)類型的維度整合基線不合規(guī)項(xiàng)，甄別操作系統(tǒng)配置管理的固有風(fēng)險(xiǎn)； c.按照基線類別的維度統(tǒng)計(jì)分析各類別項(xiàng)目的不合規(guī)情況，甄別操作系統(tǒng)的配置風(fēng)險(xiǎn)； d.按照用戶的IT環(huán)境實(shí)際情況與業(yè)務(wù)應(yīng)用的要求，提供基線整改建議與意見，并評(píng)估整改成本與風(fēng)險(xiǎn)； e.對(duì)弱口令賬號(hào)進(jìn)行排查，識(shí)別弱口令最多的賬號(hào)種類； f.對(duì)主機(jī)防病毒系統(tǒng)的運(yùn)作情況進(jìn)行評(píng)估。 完成以上評(píng)估分析工作后，編制《操作系統(tǒng)安全評(píng)估報(bào)告》 （3）此項(xiàng)工作由具備CISP認(rèn)證資質(zhì)的人員進(jìn)行實(shí)施，且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)；
數(shù)據(jù)備份評(píng)估	（1）備份系統(tǒng)安全性評(píng)估高級(jí)服務(wù):評(píng)估用戶IT環(huán)境內(nèi)現(xiàn)有的備份系統(tǒng)安全性，包括：備份主機(jī)的安全性、主機(jī)系統(tǒng)安全、賬號(hào)安全、異地容災(zāi)機(jī)制、備份文件安全等等； （2）備份策略合理性評(píng)估高級(jí)服務(wù); （3）備份映像有效性評(píng)估高級(jí)服務(wù)：對(duì)備份系統(tǒng)生成的備份映像進(jìn)行合規(guī)性評(píng)估，評(píng)估內(nèi)容有以下三項(xiàng)： a.備份映像有效性：通過恢復(fù)演練驗(yàn)證備份映像的有效性； b.備份映像保留周期:評(píng)估備份保留時(shí)間與業(yè)務(wù)重要性是否匹配； c.備份副本加密：備份文件加密后的可行性 （4）備份副本加密安全評(píng)估高級(jí)服務(wù); （5）備份副本存放安全評(píng)估高級(jí)服務(wù)； （6）備份映像保留周期評(píng)估高級(jí)服務(wù)； （7）根據(jù)以上評(píng)估內(nèi)容，出具高級(jí)服務(wù)質(zhì)量的《數(shù)據(jù)備份安全評(píng)估報(bào)告》； （8）此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。
網(wǎng)絡(luò)質(zhì)量評(píng)估	（1）網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控、網(wǎng)絡(luò)負(fù)載評(píng)估、網(wǎng)絡(luò)穩(wěn)定性評(píng)估，并對(duì)現(xiàn)有網(wǎng)絡(luò)架構(gòu)的安全性進(jìn)行評(píng)估，主要有：目標(biāo)網(wǎng)段的流量峰值、目標(biāo)網(wǎng)段的負(fù)載能力、目標(biāo)網(wǎng)段資產(chǎn)風(fēng)險(xiǎn)、針對(duì)目標(biāo)網(wǎng)段的可疑行為等等； （2）對(duì)評(píng)估周期內(nèi)的流量分析日志進(jìn)行排查梳理，綜合網(wǎng)絡(luò)設(shè)備的負(fù)載，評(píng)估用戶的核心系統(tǒng)網(wǎng)絡(luò)運(yùn)行狀況，出具高級(jí)服務(wù)質(zhì)量的《網(wǎng)絡(luò)運(yùn)行質(zhì)量評(píng)估報(bào)告》； （3）此項(xiàng)工作需由具備HCIP或CCNP同等認(rèn)證資質(zhì)的人員進(jìn)行實(shí)施，且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。
系統(tǒng)權(quán)限安全評(píng)估	（1）操作系統(tǒng)權(quán)限評(píng)估及數(shù)據(jù)庫權(quán)限評(píng)估的高級(jí)服務(wù)，根據(jù)ISACA推薦的IT可審計(jì)職責(zé)分離矩陣，按照系統(tǒng)維度，對(duì)系統(tǒng)賬號(hào)的權(quán)限分配進(jìn)行安全評(píng)估，分析權(quán)限分配與崗位職責(zé)的沖突，評(píng)估越權(quán)風(fēng)險(xiǎn)； （2）綜合各類賬號(hào)職責(zé)劃分的情況，出具高級(jí)服務(wù)質(zhì)量的《系統(tǒng)權(quán)限安全評(píng)估報(bào)告》； （3）此項(xiàng)工作需由具備CISA認(rèn)證資質(zhì)的人員進(jìn)行實(shí)施，且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。
應(yīng)用安全評(píng)估	（1）應(yīng)用滲透測(cè)試高級(jí)服務(wù) （2）應(yīng)用安全合規(guī)性評(píng)估高級(jí)服務(wù)：根據(jù)應(yīng)用安全合規(guī)性標(biāo)準(zhǔn)，對(duì)WEB應(yīng)用系統(tǒng)進(jìn)行安全評(píng)估，評(píng)估的項(xiàng)目包括應(yīng)用系統(tǒng)外部合規(guī)評(píng)估和應(yīng)用系統(tǒng)內(nèi)部合規(guī)評(píng)估； （3）數(shù)據(jù)泄露測(cè)試高級(jí)服務(wù)：主要有以下三項(xiàng)測(cè)試： a.測(cè)試一：利用內(nèi)網(wǎng)終端，向目標(biāo)服務(wù)器群發(fā)起非授權(quán)訪問；通過內(nèi)網(wǎng)終端向指定外網(wǎng)終端進(jìn)行非授權(quán)傳輸數(shù)據(jù)； b.測(cè)試二：通過外網(wǎng)終端，嘗試非授權(quán)接入內(nèi)網(wǎng)；通過外網(wǎng)終端，向內(nèi)網(wǎng)目標(biāo)主機(jī)進(jìn)行滲透，奪取內(nèi)終端的管理員權(quán)限； c.測(cè)試三：通過外網(wǎng)終端，直接滲透后臺(tái)服務(wù)器，奪取服務(wù)器管理員權(quán)限；在指定服務(wù)器向指定外網(wǎng)終端進(jìn)行非授權(quán)傳輸數(shù)據(jù)； （4）出具高級(jí)服務(wù)質(zhì)量的《內(nèi)網(wǎng)安全評(píng)估報(bào)告》； （5）此項(xiàng)服務(wù)工作需由具備ISO9000、ISO27001資質(zhì)的公司提供，且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。
安全評(píng)估總結(jié)	（1）整合以上各項(xiàng)的檢測(cè)結(jié)果，需要將各項(xiàng)評(píng)估報(bào)告的內(nèi)容進(jìn)行匯總整合，對(duì)每項(xiàng)風(fēng)險(xiǎn)進(jìn)行綜合分析，評(píng)估從整體的角度評(píng)估用戶的IT安全現(xiàn)狀。羅列目前安全級(jí)別最高的風(fēng)險(xiǎn)，分析其寄存的位置，風(fēng)險(xiǎn)產(chǎn)生的原因，評(píng)估其對(duì)業(yè)務(wù)的影響，及加固耗費(fèi)的成本。羅列安全工作的缺失，后續(xù)優(yōu)化方向，及關(guān)鍵的促進(jìn)點(diǎn)，提供信息安全工作的意見與建議對(duì)整體的安全狀況進(jìn)行分析； （2）出具高級(jí)服務(wù)質(zhì)量的《安全評(píng)估報(bào)告》; （3）此項(xiàng)工作需由具備CISA認(rèn)證資質(zhì)的人員進(jìn)行編寫，且服務(wù)公司需具備ISO9000、ISO27001資質(zhì)。
安全培訓(xùn)	（1）提供安全意識(shí)培訓(xùn)和等保基礎(chǔ)培訓(xùn)1次； （2）此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。
應(yīng)急響應(yīng)	（1）每年對(duì)1次安全事件（病毒事件、數(shù)據(jù)泄露事件、非法入侵事件）進(jìn)行即時(shí)響應(yīng)，趕赴現(xiàn)場(chǎng)處理安全事件（事件發(fā)生后12小時(shí)內(nèi)介入），進(jìn)行安全事件溯源，協(xié)助系統(tǒng)恢復(fù)正常運(yùn)行，提出安全加固建議（協(xié)議期內(nèi)若無安全事件發(fā)生仍舊收費(fèi)）； （2）此項(xiàng)服務(wù)需由具備ISO9000、ISO27001資質(zhì)的公司提供。

?

服務(wù)范圍：詳見產(chǎn)品描述； 時(shí)間范圍：服務(wù)時(shí)長(zhǎng)及響應(yīng)時(shí)間根據(jù)具體服務(wù)細(xì)項(xiàng)而定； 費(fèi)用范圍：選定所需服務(wù)后，自動(dòng)核算價(jià)格，若無法判斷可隨時(shí)聯(lián)系售前咨詢溝通。